Menestyjät hyödyntävät henkilöstönsä voimavarat

Seuraa uutisointia ja näkemyksiämme - ja osallistu keskusteluun!

Takaisin

Tietosuoja ulkoistuspalveluissa – käytännön vinkit toimeenpanoon

Myös Sillassa valmistaudutaan EU:n tietosuoja-asetuksen toimeenpanoon täyttä vauhtia. Vaikka asetus tulee velvoittavaksi vasta toukokuussa 2018, on liikkeellä syytä olla jo nyt. Aiheen ajankohtaisuus näkyi myös Sillan asiakkaillensa järjestämässä aamiaistilaisuudessa, johon ilmoittautui ennätykselliset 150 asiakasta. Sillan palvelujen luonteesta johtuen meillä on jo paljon tietosuojaan liittyviä kohtia valmiina, esim. ISAE 3402 standardin, riskien hallinnan ja liiketoiminnan jatkuvuussuunnitelmien kautta.

Kokosimme keskeisiä vinkkejä tietosuojan toimeenpanoon. Hyödynnä opit omassa organisaatiossasi!

Varmista perusasiat, suojaudu sakoilta

Julkisuudessa on väläytelty miljoonasakkojen mahdollisuutta tietosuojarikkomusten tapahtuessa. Mikäli tietoturvaloukkaus tapahtuu, ensisijaiset seuraamukset tulevat kuitenkin todennäköisesti olemaan toiminnan korjaamiseen liittyviä kehotuksia. Kyberhyökkäystä tai muuta rikollista toimintaa ei täydellä varmuudella voida estää, mutta jos olet varmistanut, että prosessit ja ohjeet ovat ajan tasalla sekä tietoturva ja henkilöstön osaaminen ovat asianmukaiset, on todennäköisyys välttyä sakoilta hyvällä tasolla.

Hyödynnä osaamista laajasti

Kaikkea ei ole tarpeen osata itse. Varsinkaan kun kyseessä on pakottava asetus, jonka kiemuroiden ymmärtämiseen tarvitaan syväosaamista. Ota mukaan juridiikan osaajia sopimusten laatimiseen, teknologian taitajia tietoturvan suunnitteluun, palveluvastaavia toimintamallien muuttamiseen ja HR muutosten jalkauttamiseen koulutuksilla.

Pidä järki kädessä tulkinnoissa

Tietosuoja-asetus ei suoraan ilmaise miten vaatimukset tulee toteuttaa. Käytännön toimenpiteitä suunnitellessa on hyvä pitää järki kädessä, ettei tietosuojasta tule toiminnan este. Lähde liikkeelle asetuksen vähimmäissisällöstä (joka on kuvattu artiklassa 28) ja mieti käytännön kannalta mahdollisimman toimivaa mallia.

Huomioi koko alihankintaketju

Tietosuoja on yhtä vahva kuin sen toimijat koko alihankintaketjussa. Yksi heikko lenkki vaarantaa kokonaisuuden. Rekisterinpitäjänä tai tietojenkäsittelijänä sinä olet vastuussa siitä, miten henkilötietoja käsitellään. Sinulla on velvollisuus tietää, missä tietoja käsitellään, miten ne on suojattu, kuka niitä käsittelee ja miten pääsy tietoon on rajattu. Varmista samalla palvelun jatkuvuus, eli miten eri alihankintaketjun toimijat varmistavat palvelun jatkuvuuden ja tietojen palauttamisen poikkeustilanteissa.

Tiedota henkilön oikeudesta tietoihinsa

Asetuksen myötä henkilöllä on oikeus pyytää rekisterinpitäjää toimittamaan itseään koskevat, järjestelmässä olevat tiedot ja myös pyytää niiden poistoa. Kuitenkin, suurin osa järjestelmissä olevista tiedoista on lakisääteisesti arkistoitavia, eikä niitä täten voi poistaa (esim. työaika- ja palkkatiedot). Tiedottaminen henkilöstölle nouseekin keskeiseen rooliin, jotta vältytään väärinymmärryksiltä.

Laadi rekisteriselosteet käyttötarkoituksen mukaan

Henkilötietoja koskevat velvoitteet muodostuvat rekisterikohtaisesti. Suosittelemme rekisteriselosteiden laatimista käyttötarkoituksen mukaan ja niputtamista niin, että niitä muodostuu mahdollisimman vähän. Esim. rekisteri työnantajavelvoitteiden hoitamisesta sisältää palkanmaksun, työterveyshuollon, vakuuttamisen jne. HRD-asioille voi puolestaan olla omansa (osaaminen, kehityskeskustelut, työtyytyväisyys).

 

Jani Rahja
Johtaja, tuotteet ja palvelut
jani.rahja@silta.fi
@janirahja
https://www.linkedin.com/company/silta-oy

Palvelemme asiakkaitamme yksilöllisesti, joustavasti ja intohimolla.
Ota yhteyttä!